Una vulnerabilidad crítica identificada como CVE-2024-38193 ha sido descubierta en el controlador de Windows afd.sys, lo que representa un riesgo significativo para los sistemas que no han sido parcheados. Esta falla, con un puntaje CVSS de 7,8, permite a los atacantes escalar privilegios y ejecutar código arbitrario, según un análisis detallado realizado por el investigador de seguridad Luca Ginex de Exodus Intelligence.
Detalles técnicos de la vulnerabilidad
El CVE-2024-38193 afecta a la extensión de E/S registrada (Registered I/O o RIO) para sockets de Windows, un componente diseñado para optimizar la programación de sockets mediante la reducción de llamadas al sistema. La falla reside en una condición de carrera entre las funciones AfdRioGetAndCacheBuffer() y AfdRioDereferenceBuffer() dentro del controlador afd.sys.
Luca Ginex explicó el mecanismo detrás de la vulnerabilidad: “La condición de carrera entre estas funciones permite a un usuario malicioso forzar que la función AfdRioGetAndCacheBuffer() actúe sobre una estructura de búfer que ya ha sido liberada por AfdRioDereferenceBuffer(), lo que genera un escenario de uso después de liberación (use-after-free)”.
Proceso de explotación
El exploit de esta vulnerabilidad involucra varias etapas complejas:
- Heap Spraying: El atacante llena el non-paged pool con estructuras RIOBuffer falsas y crea huecos para preparar el terreno para la explotación.
- Activación de la vulnerabilidad: Utilizando dos hilos concurrentes, el atacante desregistra búferes mientras están en uso, desencadenando la condición de uso después de liberación.
- Escalada de privilegios: Una vez activada, la vulnerabilidad permite al atacante modificar estructuras críticas del sistema, como _SEP_TOKEN_PRIVILEGES, para obtener privilegios de NT AUTHORITY\SYSTEM.
Este proceso otorga al atacante acceso completo al sistema, permitiéndole eludir restricciones de seguridad y acceder a áreas sensibles que normalmente estarían fuera de su alcance.
Involucramiento del Lazarus Group
Los investigadores de Gen Digital, la empresa que descubrió y reportó la vulnerabilidad a Microsoft, revelaron que la explotación de esta falla ha sido vinculada al grupo Lazarus, conocido por su sofisticación en ciberataques. Según el análisis, el grupo ha utilizado esta vulnerabilidad para instalar malware denominado FudModule, detectado inicialmente en 2022 por los equipos de AhnLab y ESET.
Prueba de concepto (PoC) publicada
El investigador independiente Nephster publicó recientemente en GitHub un código de prueba de concepto (PoC) para la vulnerabilidad CVE-2024-38193. Este PoC demuestra cómo los atacantes pueden aprovechar la vulnerabilidad de manera confiable para escalar privilegios en sistemas sin parchear. La publicación del PoC aumenta el riesgo de explotación, especialmente en entornos corporativos que aún no han aplicado las actualizaciones necesarias.
Solución y recomendaciones
Microsoft solucionó esta vulnerabilidad en el Patch Tuesday de agosto de 2024, y los usuarios son encarecidamente recomendados a instalar este parche para mitigar los riesgos. La explotación de CVE-2024-38193 puede permitir a los atacantes obtener acceso no autorizado a datos sensibles y tomar control completo del sistema.
Los administradores de TI deben priorizar la aplicación de actualizaciones en sistemas vulnerables y monitorizar activamente cualquier actividad sospechosa en las redes. Asimismo, se recomienda revisar las configuraciones de seguridad y limitar el acceso a sistemas críticos para minimizar el impacto de posibles ataques.
Conclusión
El resurgimiento de vulnerabilidades como CVE-2024-38193 subraya la importancia de una vigilancia constante en materia de ciberseguridad. Aunque esta vulnerabilidad tiene años de antigüedad, su explotación activa demuestra que las amenazas persistentes siguen representando riesgos graves para organizaciones y usuarios. La actualización y la adopción de buenas prácticas de seguridad son esenciales para mitigar estas amenazas en un panorama digital en constante evolución.
vía: GitHub
